JC-STAR取得済み？ EU CRAにはまだ足りない7つの要求事項

JC-STARラベルを取得した。EU CRAの対応もこれで完了——と思っていませんか。

経済産業省（METI）とIPAが2025年3月に開始したJC-STARは、IoT製品のセキュリティ基準を可視化する制度として急速に普及しています。2025年10月時点で41社89件がラベルを取得しました。英国PSTI法との相互承認も実現し、シンガポールCLSとの相互承認も2026年6月に発効予定です。

しかし、EU CRA（サイバーレジリエンス法、EU規則2024/2847）との相互承認は交渉中であり、合意には至っていません。そして仮に相互承認が実現しても、JC-STARがカバーしていない要求事項が少なくとも7つ存在します。

本記事は、前回のCRA第14条解説記事で予告した「JC-STARとEU CRAの差分ガイド」です。JC-STAR取得済み、または取得を検討中の日本メーカーが、EU CRA対応に向けて何を追加で準備すべきかを具体的に解説します。

JC-STARの概要

JC-STAR（セキュリティ要件適合評価及びラベリング制度）は、経済産業省とIPAが2025年3月25日に運用を開始したIoT製品向けのセキュリティラベリング制度です。

4段階のレベル構成：

★1の申請費用は198,000円（税込、早期申請は110,000円）。有効期間は2年間。★1の16要件はETSI EN 303 645をベースとし、デフォルトパスワードの禁止、安全な通信、暗号化、ソフトウェア更新メカニズム、脆弱性開示ポリシーなどの基本的なセキュリティ要件を規定しています。

★2以上の申請受付は2026年1月以降に順次開始予定です。

相互承認の現状：

CRA概要：JC-STAR取得者向け

EU CRA（EU規則2024/2847）は、デジタル要素を含む全製品に対しEU市場投入の条件としてサイバーセキュリティ要件を義務付ける規制です。JC-STARが任意の認証制度であるのに対し、CRAは法的義務です。

2つの期限：

• 2026年9月11日：脆弱性・インシデント報告義務の発効（第14条の詳細は前回記事を参照）
• 2027年12月11日：全要求事項の完全適用（SBOM、CE認証、技術ファイル等）

違反時の制裁： 最大1,500万ユーロまたは全世界売上高の2.5%

JC-STARとCRAの根本的な違いは、JC-STARが製品のセキュリティ特性を評価するのに対し、CRAは製品セキュリティに加えてライフサイクル全体の義務（脆弱性管理、当局報告、技術文書、適合性評価）を課す点にあります。

直接比較：JC-STAR ★1 vs CRA 要求事項

pie title JC-STAR ★1 による CRA要求事項のカバー率
    "JC-STARでカバー済み" : 30
    "部分的にカバー" : 10
    "JC-STARで未対応（ギャップ）" : 60

以下の表は、JC-STAR ★1の要件とCRA附属書Iの要求事項を対照したものです。

JC-STARでは対応できない7つのCRA要求事項

flowchart TB
    subgraph JC["JC-STAR ★1 がカバーする領域"]
        A["デフォルトパスワード禁止"]
        B["暗号化通信"]
        C["更新メカニズム"]
        D["脆弱性開示ポリシー"]
        E["攻撃面の最小化"]
    end
    subgraph GAP["CRA固有の要求事項（ギャップ）"]
        G1["❌ SBOM（機械可読）"]
        G2["❌ ENISA 24時間報告"]
        G3["❌ EU適合性宣言"]
        G4["❌ 技術ファイル"]
        G5["❌ CEマーキング"]
        G6["❌ 5年間サポート"]
        G7["❌ EU認定代理人"]
    end
    JC -.->|"約30%カバー"| CRA["CRA全体要求"]
    GAP -.->|"約60%が未対応"| CRA

❌ 1. SBOM（ソフトウェア部品表）

CRA第13条第4項は、製品に含まれるソフトウェアコンポーネントと依存関係を機械可読形式（CycloneDXまたはSPDX）で文書化し、技術ファイルに含めることを義務付けています。

JC-STARはソフトウェアの構成管理を要件としていません。ファームウェアに含まれるOSSライブラリの一覧を作成・維持する仕組みは、JC-STARの範囲外です。

必要な対応： SBOMの自動生成パイプラインを構築する。Syft、cdxgen等のツールを用い、ビルドプロセスに組み込む。

❌ 2. ENISA 24時間早期警告

CRA第14条は、製品の脆弱性が積極的に悪用されていることを認識してから24時間以内にENISAへ早期警告を提出することを義務付けています。この要件の詳細と日本企業特有の課題（稟議文化との構造的矛盾）については、前回の記事で詳しく解説しています。

JC-STARは脆弱性開示ポリシーの策定を求めていますが、当局への報告義務やタイムラインの規定はありません。

必要な対応： 事前承認済み報告者の設定、24時間対応体制の構築、ENISA SRPへの登録。

❌ 3. EU適合性宣言（EU DoC）

CRA附属書Vは、製品がCRAの全要求事項に適合していることを製造業者が宣言する正式文書の作成を義務付けています。記載事項は附属書で規定されており、製品の識別情報、適用された整合規格、適合性評価手続きの結果等を含む必要があります。

JC-STARの適合ラベルはIPA発行の認証であり、EU法上の適合性宣言とは法的性質が異なります。

必要な対応： CRA附属書Vの要件に準拠したEU DoC文書を製品ごとに作成する。

❌ 4. 技術ファイル（附属書VII）

CRA附属書VIIは、製品の設計・開発に関する完全な技術文書の作成・保管（10年以上）を義務付けています。リスク評価、SBOM、テスト結果、適合性評価のエビデンスを含む包括的なパッケージです。

JC-STARの申請書類はチェックリスト形式の自己宣言であり、技術ファイルの詳細度とは大きく異なります。

必要な対応： CRA附属書VIIの要件を満たす技術ファイルのテンプレートと管理プロセスを確立する。

❌ 5. CEマーキング

CRA第28条は、全要求事項への適合を完了し、適合性評価手続きを経た製品にCEマーキングを貼付することを義務付けています。CEマーキングなしにEU市場に投入することはできません。

JC-STARの★ラベルはCEマーキングの代替にはなりません。

必要な対応： 適合性評価の完了後、CEマーキングの貼付プロセスを製造工程に組み込む。

❌ 6. 5年間セキュリティサポート

CRA第13条第9項は、製品の市場投入後少なくとも5年間（製品の想定ライフサイクルが5年未満の場合はそのライフサイクル期間）、セキュリティ更新を提供し続けることを義務付けています。

JC-STARの適合ラベル有効期間は2年間です。ラベルの更新は可能ですが、制度として5年間のサポートコミットメントを要求していません。

必要な対応： 製品ごとにサポート期間を定義し、5年間のセキュリティ更新提供体制を文書化する。

❌ 7. EU認定代理人（Authorised Representative）

CRA第16条は、EU域内に拠点を持たない製造業者に対し、EU認定代理人の任命を義務付けています。代理人はENISA報告の連絡窓口となり、市場監視機関への対応を担います。

JC-STARは日本国内の制度であり、EU域内の代理人に関する要件はありません。

必要な対応： EU規制に精通した認定代理人を選定・契約する。24時間対応が可能な代理人であることを確認する。

相互承認の現状と限界

METIは国際的な相互承認を積極的に推進しています。

実現済みの相互承認：

• 英国 PSTI法：2025年11月6日にMoC署名。2026年1月1日から、JC-STAR ★1取得製品は英国PSTI法の3つの適合基準を満たすとみなされる。ただし、英国PSTI法はEU CRAとは別の法規制であり、PSTI相互承認はCRA適合を意味しない。
• シンガポール CLS：MoC署名済み。2026年6月1日から発効。

EU CRAとの相互承認： 交渉中。合意時期は未定。

JC-STARレベル別のCRA準備度

flowchart LR
    subgraph S1["★1"]
        P1["約30%\n製品セキュリティ\nベースライン"]
    end
    subgraph S2["★2"]
        P2["約35-40%\nカテゴリ別\n追加要件"]
    end
    subgraph S3["★3"]
        P3["約40-45%\n第三者評価で\n信頼性向上"]
    end
    subgraph S4["★4"]
        P4["約45-50%\n最高レベル\n製品セキュリティ"]
    end
    subgraph MISSING["全レベル共通の未対応領域"]
        M1["SBOM"]
        M2["ENISA報告"]
        M3["EU DoC"]
        M4["CEマーキング"]
        M5["技術ファイル"]
        M6["5年サポート"]
        M7["EU認定代理人"]
    end
    S1 --> S2 --> S3 --> S4
    S4 -.->|"★4でも\nカバーされない"| MISSING

★4は製品セキュリティの観点で最も厳格な評価を受けるため、CRA附属書IのPart I（セキュリティ要件）への対応度は高くなります。しかし、CRAの義務の約半分を占めるライフサイクル要件・規制手続きは、どのレベルでも対応していません。

実践ロードマップ：JC-STAR → CRA

JC-STARの取得実績は無駄にはなりません。以下のロードマップで、JC-STARのエビデンスを土台としてCRA対応を効率的に進められます。

flowchart TD
    START["JC-STAR ★1\n取得済み"] --> STEP1["ステップ1\nJC-STARエビデンスを\nCRA附属書I対応に転用"]
    STEP1 --> STEP2["ステップ2\nSBOMパイプライン構築\nSyft / cdxgen"]
    STEP2 --> STEP3["ステップ3\nENISA報告体制の確立\n24時間SOP策定"]
    STEP3 --> STEP4["ステップ4\nEU DoC・技術ファイル\nのドラフト作成"]
    STEP4 --> STEP5["ステップ5\nEU認定代理人の\n選定・契約"]
    STEP5 --> STEP6["ステップ6\n5年間サポート期間の\n定義・文書化"]
    STEP6 --> STEP7["ステップ7\n適合性評価の完了\nCEマーキング貼付"]
    STEP7 --> GOAL["CRA完全適合\n2027年12月期限"]

□ ステップ1：JC-STARエビデンスのCRA転用
  JC-STAR ★1の適合チェックリストを確認し、CRA附属書I Part Iの対応する
  要求事項にマッピング。既存のテスト結果・設計文書を技術ファイルの土台として整理。

□ ステップ2：SBOMパイプラインの構築
  Syft、cdxgen等のツールを用いてSBOMを自動生成するパイプラインを構築。
  CycloneDXまたはSPDX形式で出力し、バージョンごとに管理。

□ ステップ3：ENISA報告体制の確立
  事前承認済み報告者の設定、24時間対応のSOPを策定。
  詳細は前回記事を参照：「稟議なしで報告できる人」を経営判断として決定する。

□ ステップ4：EU DoC・技術ファイルのドラフト作成
  CRA附属書V（EU DoC）・附属書VII（技術ファイル）の要件に準拠した
  テンプレートを作成。JC-STARのエビデンスを組み込む。

□ ステップ5：EU認定代理人の選定・契約
  EU域内に拠点を持つ認定代理人を選定。ENISA報告の連絡窓口機能、
  市場監視機関への対応能力を確認。24時間対応可否も要確認。

□ ステップ6：5年間サポート期間の定義
  製品ごとにセキュリティサポート期間を定義し、公開する。
  JC-STARの2年更新サイクルとは独立した、CRA固有のコミットメント。

□ ステップ7：適合性評価の完了とCEマーキング
  CRAの適合性評価手続きを完了し、CEマーキングを貼付。
  デフォルトカテゴリの製品は自己適合宣言（モジュールA）で対応可能。
  「重要なデジタル要素を含む製品」はクラスI/IIの手続きが必要。

次のステップ

• CRA適用可否の確認： CRA適用可否チェックツールで自社製品がCRAの対象か確認
• 第14条の詳細： CRA第14条 ENISA報告義務の解説記事
• 専門家への相談： CRA Evidence に問い合わせる →

本記事は情報提供を目的としており、法的アドバイスを構成するものではありません。EU製品規制に関する具体的なコンプライアンス対応については、EU規制に精通した法律の専門家にご相談ください。